脆弱なパスワードの利用はやめて、強固な認証方式に移行する「パスワードレス」が注目される。企業向けシステムでパスワードレスになる実例が出始めており、本稿ではこのトレンドの背景と基本的な技術について解説する。
クラウド化とアカウント乗っ取りの脅威
企業のITセキュリティにおいて認証が再注目されている。まずその背景だが、多くの企業システムがクラウド化によって、社員が自社システムをインターネット越しに利用するようになってきている。従来の企業システムは、オンプレミスのサーバー上で稼働しており、自社のLANやVPNに接続しなければアクセスできなかった。だが、インターネット経由のSaaSなら、基本的にどこからでもアクセスできる(例外として送信元IPやHTTPヘッダーで制限をかけるなどの設定が可能な場合はある)。
そこで、システムのセキュリティの要となるのがログイン認証だ。ログイン認証では、ITの黎明期から使われ続けているパスワードが主たる方式だが、パスワードの脆弱性が近年に改めて問題視されている。米Verizonが発行する「2021年度データ漏えい/侵害 調査報告書」によると、情報漏えいの61%が認証情報に関わるものだった。またSalesforce.comは、2022年2月1日から多要素認証を必須にすると発表している。
パスワードが危険なことは、頻繁に報道されている。それにもかかわらず、なぜ広く使われているのか。それは開発者、利用者双方に利点があるからだ。パスワード認証は普及しているため、開発者が改めて設計開発するコストは極めて少ない。利用者側も使い慣れているので新たに覚える必要性が皆無に近い。1990年代にITが一般層へ普及して以降、長らく標準的な認証方式になっていると言えるだろう。だが、肝心のセキュリティ面で限界が見えている。以前から「辞書攻撃」(頻繁に使われるパスワードの文字列を使う方法)や「総当たり攻撃」(あらゆるパスワードの文字列を使う方法)と呼ばれるパスワードを突破する手法はあった。しかし昨今は、フィッシングのような人間をだましてパスワード情報を窃取する手法や、ダークウェブ(犯罪や不正行為に関連するウェブサイトやサービスの通称)のように盗まれたパスワードの流通経路が充実し、深刻な脅威と化している。
また、1人が多数のシステムを利用することによるパスワード管理の負荷も馬鹿にならない。利用者は公私にまたがって何十、何百というシステムのログインなどで必要なパスワードを管理している。この規模だと、個々に異なるパスワードを設定したり、それを定期的に変更したりすることが困難になり、共通のパスワードをさまざまなところで再利用するというのは必然だろう。そうなると、一度どこかでアカウント情報が流出すれば、それが災いして、共通のパスワードを使っているウェブサイトやサービスは、全て侵害の脅威にさらされてしまう。
ここまでを要約すると、以下の3つの要素によってパスワード認証の脆弱性が顕著になっていると言える。
- クラウドの普及によるアカウント数増加
- パスワード管理の面倒さ
- フィッシング&ダークウェブによる盗難、流通リスクの増加